Warum der IDW ES 16 keine Resilienz schafft

Papiertiger mit Siegel


Warum der IDW ES 16 keine Resilienz schafft: Papiertiger mit Siegel Kolumne

Zahlreiche prominente Unternehmenskrisen der letzten Jahre zeigen, dass selbst bei bestehenden Risikomanagementsystemen bestandsgefährdende Entwicklungen nicht erkannt wurden – teils mit dramatischen Folgen für Gläubiger, Beschäftigte und Kapitalmärkte. Exemplarisch zu nennen sind:

  • BayWa: Die international tätige Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC) hatte den Geschäftsbericht testiert. Im uneingeschränkten Testat zum Geschäftsbericht 2023 verzichtet PwC auf Hinweise zur angespannten finanziellen Lage des Unternehmens, die allerdings längst bekannt war.
  • Varta: Das Unternehmen unterschätzte die strukturellen Marktveränderungen und die Risiken im operativen Geschäft. Eine wirksames Risikomanagement – basierend auf fundierten Methoden – war nicht erkennbar.
  • Gerry Weber: Trotz eines von Prüfern bestätigten (qualitativ ausgerichteten) Risikomanagementsystems blieben gravierende Entwicklungen unbemerkt, sodass insolvenzabwendende Maßnahmen nicht frühzeitig eingeleitet werden konnten. Dies liegt an methodischen Schwächen, beispielsweise an einer fehlenden Betrachtung der Liquiditätswirkung von Risiken, einer vernachlässigten Analyse von kritischen Risiken und insbesondere am Fehlen einer Risikoaggregation, die auch Kombinationseffekte berücksichtigt. 
  • Wirecard: Der vielleicht folgenreichste Fall der jüngeren Vergangenheit: Ein offensichtliches Scheitern der Risikofrüherkennung auf allen Ebenen. Die Wirtschaftsprüfer verließen sich auf punktuelle Prüfungen, während die Risiken sich längst zu einem systemischen Krisenszenario kumuliert hatten.

Allen Fällen ist gemeinsam, dass Kombinationseffekte von Einzelrisiken – also deren Wechselwirkungen und Verstärkungen – nicht erkannt oder bewusst ausgeblendet wurden. Das jeweilige Risikomanagement fungierte de facto als "Papiertiger": Formal vorhanden, aber nicht wirksam im Sinne einer realitätsnahen Früherkennung von sog. bestandsgefährdenden Entwicklungen.

"Die Wirtschafts- und Abschlussprüfung befindet sich im Legitimationsdruck. Skandale wie Wirecard oder der Fall BayWa werfen die Frage nach der Unabhängigkeit und Wirksamkeit von Prüfmechanismen auf. Europäische Reformvorschläge zur wirksamen Trennung von Prüfung und Beratung scheiterten bisher immer an politischem Widerstand. Trotz hoher Ressourcen bleiben Aufsicht und Prüfung oft blind für systemische Risiken." so Josef Scherer, Professor für Unternehmensrecht und zuvor Staatsanwalt an diversen Landgerichten und Richter am Landgericht in einer Zivilkammer.

Nachfolgend finden Sie eine Aussage aus dem Geschäftsbericht 2024 eines deutschen Konzerns, wie wir sie in der Mehrzahl der Lageberichte finden: "Als Ergebnis unserer Analysen von Chancen und Risiken, Gegenmaßnahmen, Absicherungen und Vorsorgen sowie nach Einschätzung des Vorstands sind auf Basis der gegenwärtigen Risikobewertung und unserer Mittelfristplanung keine Risiken vorhanden, die einzeln oder in ihrer Gesamtheit die Vermögens-, Finanz- und Ertragslage des …-Konzerns bestandsgefährdend beeinträchtigen könnten." 

Das oben zitierte Unternehmen erhält jährliche staatliche Hilfen in einem zweistelligen Milliardenbetrag. Ohne diese staatliche Finanzspritze müsste das Unternehmen jedes Jahr (!) Insolvenz anmelden. D.h. die Aussage, dass es keine bestandsgefährdenden Entwicklungen gäbe, ist nachweislich nicht korrekt und suggeriert ggü. Investoren, Lieferanten, den Bürgern und anderen Interessengruppen ein völlig schiefes Bild über den "Gesundheitszustand" des Konzerns. Tatsache hingegen ist, dass jedes (!) Unternehmen mit "fortbestandsgefährdenden Entwicklungen" konfrontiert ist. Denn es existieren stets Risiken mit geringer Eintrittswahrscheinlichkeit, aber potenziell existenziellem Schadensausmaß – sogenannte Long-Tail-Risiken. Wer sie ignoriert, riskiert ein gefährlich verzerrtes Bild der Unternehmensrealität.

Notwendig ist also immer aus Risikoanalyse und Risikoaggregation die Wahrscheinlichkeit einer "bestandsgefährdenden Entwicklung" abzuleiten, und aus dieser Kennzahl – einer Kennzahl für den Grad der Bestandsgefährdung bzw. die Risikotragfähigkeit – abzuleiten, ob nun "geeignete Gegenmaßnahmen" erforderlich sind.

Was der IDW ES 16 für Unternehmen bedeutet

Der IDW ES 16 wurde vom Institut der Wirtschaftsprüfer im Februar 2025 als Entwurf vorgelegt, um die Anforderungen an die Krisenfrüherkennung nach § 1 StaRUG zu konkretisieren. Ziel war es, den Wirtschaftsprüfern eine methodische Grundlage zur Beurteilung bestandsgefährdender Entwicklungen in Unternehmen an die Hand zu geben. Die Erwartungen an diesen Standard waren hoch – nicht zuletzt, da Prüfungsversagen in zahlreichen Unternehmenskrisen (siehe oben) verdeutlichte, dass bestehende Prüfungsstandards wie IDW PS 340 oder IDW PS 981 strukturelle Defizite aufweisen (auf die Wissenschaftler und Praktiker seit vielen Jahren hinweisen).

Die wissenschaftliche und praktische Fachwelt reagierte mit breiter Kritik auf den Entwurf: In einer umfassenden Stellungnahme von über 20 renommierten Wissenschaftlern und Praktikern wurde der IDW ES 16 als methodisch unzureichend beurteilt und in wesentlichen Punkten als nicht vereinbar mit dem Stand der Wissenschaft, der ökonomischen Logik und der geltenden Rechtslage eingestuft.

Rechtlicher Hintergrund und Kardinalpflichten

Bereits vor Inkrafttreten von § 1 StaRUG am 1. Januar 2021 war die Krisenfrüherkennung integraler Bestandteil der Leitungspflichten von Geschäftsführern und Vorständen – insbesondere im Rahmen der Sorgfaltspflicht eines ordentlichen und gewissenhaften Geschäftsleiters gemäß § 93 Abs. 1 Satz 1 AktG und § 43 Abs. 1 GmbHG.

Diese Vorschriften verpflichten Organe zur laufenden Überwachung der wirtschaftlichen Lage des Unternehmens und zur rechtzeitigen Einleitung von Gegenmaßnahmen bei drohenden Gefahren. Die Pflicht zur Krisenfrüherkennung ergibt sich logisch aus dem Umstand, dass nur bei frühzeitiger Identifikation von Risiken angemessen reagiert und Schaden vom Unternehmen abgewendet werden kann. Auch die Rechtsprechung – etwa das OLG Frankfurt a. M. (Beschluss vom 16.01.2025, Az. 7 W 20/24) – sieht die Pflicht zur Krisenfrüherkennung als elementare berufliche Pflicht ("Kardinalpflicht") an. Der § 1 StaRUG stellt daher keine neue Pflicht dar, sondern konkretisiert und normiert bestehende Anforderungen in krisenanfälligen Zeiten.

Die "Kardinalpflicht" zur Einführung eines risikobasierten Frühwarnsystems (vgl. Scherer 2025) umfasst unter anderem:

  • Pflicht zur kontinuierlichen Beobachtung der wirtschaftlichen Lage des Unternehmens.
  • Einrichtung und Steuerung eines wirksamen Risiko- und Krisenfrüherkennungssystems (§ 1 StaRUG, § 91 Abs. 2 AktG).
  • Quantifizierung und Aggregation von Risiken sowie Abgleich mit der Risikotragfähigkeit.
  • Einleitung geeigneter Gegenmaßnahmen bei Krisenanzeichen
  • Pflicht zur Einhaltung aller gesetzlichen Vorschriften und unternehmensinternen Regelungen (Legalitätsprinzip).
  • Pflicht zur sorgfältigen Informationsbeschaffung (inkl. Abwägen von Chancen und Risiken) vor wichtigen Entscheidungen (§ 93 Abs. 1 S. 2 AktG).
  • Pflicht zur gewissenhaften, nachhaltigen und risikobasierten Führung und Überwachung der Organisation.
  • Bei Eintritt der Insolvenzreife muss der Geschäftsleiter unverzüglich den Antrag stellen.

Verstöße dagegen führen zu Haftungsrisiken nach § 93 Abs. 1 AktG, insbesondere bei Nichtanwendung anerkannter Methoden (beispielsweise Szenarioanalysen oder stochastischer Simulationen). Wer fachlich oder persönlich nicht geeignet ist, hat die Leitungstätigkeit nicht anzunehmen oder niederzulegen (sog. "Geschäftsführerhaftung wegen Unfähigkeit").

80 % Hoffnung – 20 % Ruin

Der Entwurf des IDW ES 16 unterschätzt systematisch die Relevanz quantitativer Ansätze zur Bewertung sog. bestandsgefährdende Entwicklungen. Die Formulierung der "überwiegenden Wahrscheinlichkeit" als Entscheidungskriterium verkennt fundamentale ökonomische Prinzipien: Selbst bei 80 % Eintrittswahrscheinlichkeit eines Gewinns kann ein 20 % Szenario mit massiven Verlusten existenzbedrohend sein.

Die Praxis der Unternehmensschieflagen und -insolvenzen zeigt zudem, dass die Auslöser häufig durch eine niedrige Eintrittshäufigkeit bzw. -wahrscheinlichkeit gekennzeichnet sind. Es handelt sich hierbei um die bereits oben erwähnten "Long-Tail"-Risiken. Es sei hierbei exemplarisch an Risikoszenarien resultierend aus Cyberattacken (siehe Ransomware-Angriff auf CloudNordic im Jahr 2023, Sicherheitslücken in der Azure-Infrastruktur oder der Cyberangriff auf A. P. Møller-Mærsk im Jahr 2017), geopolitische Stressszenarien (sh. aktuelle Zolldiskussion) oder disruptive technologische Entwicklungen (siehe DeepSeek) erinnert, die allesamt für Unternehmen zu einer "fortbestandsgefährdenden Entwicklung" führen können.

Warum Äpfel mit Äpfeln verglichen werden müssen

Der IDW ES 16 stellt richtigerweise klar, dass man eine Risikoaggregation benötigt, um die üblicherweise zu einer Bestandsgefährdung führenden Kombinationseffekte von Risiken sachgerecht auszuwerten. Aber es ist unverständlich, wieso der IDW ES 16 nicht klar formuliert, dass eine Aggregation von Risiken mit Bezug auf die Unternehmensplanung praktisch nur durch eine stochastische Simulation umsetzbar ist und als Ergebnis eine Kennzahl für die Bestandsgefährdung berechnet werden muss (siehe Gefährdungswahrscheinlichkeit). 

Der Entwurf des IDW ES 16 führt in Tz. 22 (Seite 5) aus: "Bei der Einschätzung, ob eine fortbestandsgefährdende Entwicklung vorliegt, wird daher i.d.R. eine Aggregation der identifizierten Entwicklungen und Risiken notwendig sein." 
Mit den drei Buchstaben "i.d.R." definiert der Standard – völlig unnötig – einen "Notausgang" und suggeriert, das bestandsgefährdende Entwicklungen auch ohne eine Risikoaggregation systematisch erkannt werden können. 

In Deutschland (und vielen anderen Ländern) ist die Zahlungsunfähigkeit (§ 17 InsO) der häufigste Insolvenzgrund, d. h. es fehlt an liquiden Mitteln, um Rechnungen, Löhne, Kredite etc. zum Fälligkeitszeitpunkt zu begleichen – selbst wenn auf dem Papier Vermögen vorhanden ist (z. B. Maschinen, Lagerbestand). Diese Tatsache ist beim Vergleich des Risikodeckungspotenzials (RDP) sowie mit dem Vergleich dessen mit den aggregierten Risiken bei der Berechnung der Risikotragfähigkeit zu berücksichtigen. Und nur über diesen Vergleich des Risikodeckungspotenzials mit den aggregierten Risiken kann der "Gesundheitszustand" eines Unternehmens abgeleitet werden. Es sei an dieser Stelle angemerkt, dass eine qualitative oder statische Betrachtung von Einzelrisiken ohne Aggregation, basierend auf der Unternehmensplanung, untauglich ist, um Kombinationseffekte und Long-Tail-Risiken zu analysieren. 

Juristisch ist hierbei anzumerken, dass eine Anwendung nicht-angemessener Methoden einen Verstoß gegen die Business Judgement Rule darstellen würde (mit der Folge einer persönlichen Haftung der Geschäftsleiter). Und es wäre auch ein Verstoß gegen den anerkannten Stand von Wissenschaft und Praxis, wie ein Entscheidungsprozess abzulaufen hat

Kernaussagen der fachlichen Kritik am IDW ES 16

Die Autoren der Stellungnahme identifizieren 15 zentrale Kritikpunkte, darunter:

  • Unklarer Zweck des Standards : Der Entwurf klärt nicht, in welchem Verhältnis er zu bestehenden Standards wie IDW PS 340, PS 981 und der BMJ-Liste nach § 101 StaRUG steht.
  • Keine Differenzierung nach Unternehmensgröße: Es fehlen abgestufte Anforderungen entsprechend der Unternehmensgröße (§ 267 HGB), was die Praktikabilität für KMU erschwert.
  • Unhaltbare Risikobegriffe: Die Verwendung der "überwiegenden Wahrscheinlichkeit" blendet existenzgefährdende Extremrisiken mit niedriger Eintrittswahrscheinlichkeit aus – eine gravierende methodische Schwäche.
  • Verharmlosung der Risikoaggregation: Die Formulierung "i.d.R." in Bezug auf Risikoaggregation relativiert ein methodisches Muss und suggeriert, dass Aggregation verzichtbar sei.
  • Verzicht auf stochastische Verfahren: Die Ablehnung von stochastischen Methoden (bspw. der Monte-Carlo-Simulation) widerspricht dem Stand von Wissenschaft und Praxis und verhindert eine sachgerechte Risikoaggregation.
  • Unzureichende Einbindung von Szenarien und Stresstests: Diese modernen Instrumente werden im Entwurf nur randständig erwähnt, obwohl sie für die Krisenfrüherkennung essenziell sind.
  • Punktplanungen statt Szenarien in Form von Bandbreiten: Die Annahme, ein einziges Forecast-Szenario genüge, widerspricht der Realität von Unternehmensrisiken und dem Bedarf an Alternativszenarien. Ein wirksames Risikomanagement inkl. Risikofrüherkennung muss insbesondere auch (realistische) Worst-case-Szenarien berücksichtigen, alle Risiken angemessen quantifizieren, aggregieren, steuern und mit der Risikotragfähigkeit in Abgleich bringen
  • Verengter Insolvenzbegriff: Der Fokus auf Überschuldung und Zahlungsunfähigkeit greift zu kurz. Risiken wie Covenant-Verletzungen oder Ratingverschlechterungen bleiben unbeachtet.
  • Verstoß gegen die Business Judgement Rule: Der Einsatz unzureichender Methoden kann zu Haftung führen – dieser Aspekt wird im Entwurf nicht thematisiert. Siehe hierzu Kardinalpflicht, die einen "risikobasierten Ansatz" fordert.
  • Keine verpflichtenden Risikokennzahlen: Gefährdungswahrscheinlichkeit, Value at Risk (VaR), Expected Shortfall (ES) und Risikotragfähigkeit werden nicht verlangt – ein professionelles Risikomanagement wird so untergraben.
  • Unzureichender Prognosehorizont: Der gewählte Horizont von 12 bis 24 Monaten reicht für strategische Risiken nicht aus – mindestens 3 bis 5 Jahre wären angemessen.
  • Verwirrung über Systemanforderungen: Es wird nicht klargestellt, dass kein zweites Risikofrüherkennungssystem nötig ist, wenn das bestehende (z. B. nach § 91 Abs. 2 AktG) die Anforderungen des StaRUG erfüllt.
  • Prüfpflichten nach § 1 StaRUG unklar: Es fehlt die Klarstellung, dass der Prüfer die in § 1 StaRUG explizit genannten Anforderungen, die in § 91 Abs. 2 AktG nicht genannt sind, prüfen muss (also beispielsweise die Regelungen und Schwellenwerte, die zur Initiierung "geeigneter Gegenmaßnahmen" und der unverzüglichen Information des Aufsichtsgremiums führen).
  • Fehlende Definition eines Schwellenwerts: Es gibt keine Vorgabe, ab welcher Gefährdung eine wesentliche Unsicherheit über die Unternehmensfortführung vorliegt.
  • Keine praktischen Umsetzungshilfen: Es fehlen Hinweise oder Beispiele, wie ein funktionierendes Krisenfrüherkennungssystem in der Praxis konkret aussehen soll.

Ein Standard mit eingebauter Risikoblindheit

Der IDW ES 16 kann nur dann zur Stabilisierung von Unternehmen beitragen, wenn er sich explizit zur quantitativen Risikoaggregation und zur Festlegung verbindlicher Schwellenwerte bekennt. Andernfalls bleibt er ein Papiertiger – ohne praktischen Nutzen und mit potenziell schweren wirtschaftlichen Konsequenzen.

Der Entwurf des IDW ES 16 verkennt systematisch, wie Unternehmen in der Realität in die Krise geraten. Die Autoren der Stellungnahme fordern stattdessen die konsequente Integration stochastischer Methoden, eine explizite Verpflichtung zur Quantifizierung und Aggregation von Risiken und eine eindeutige Kopplung an handlungsleitende Kennzahlen. Nur so könne ein Frühwarnsystem tatsächlich zur Krisenprävention beitragen.

Der Entwurf lässt zentrale Prinzipien wirksamer Krisenfrüherkennung unberücksichtigt. Anstelle einer zukunftsfähigen Standardisierung entsteht ein "Papiertiger", der falsche Sicherheit suggeriert und Geschäftsleiter, Aufsichtsgremien sowie Prüfer in rechtlich und ökonomisch unsichere Positionen bringt.

 

[ Bildquelle Titelbild: Generiert mit AI ]
Themengebiete
In Verbindung stehende Artikel
Kardinalpflicht fordert "risikobasierten Ansatz"Kardinalpflicht fordert "risikobasierten Ansatz"
Kontinuierliche Risikoüberwachung in EchtzeitKontinuierliche Risikoüberwachung in Echtzeit
Was bedeutet "fortlaufende" Überwachung einer möglichen Bestandsgefährdung?Was bedeutet "fortlaufende" Überwachung einer möglichen Bestandsgefährdung?
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.